Hacking Cineplex Online Reservation ...
Christoph Hautzinger's Blog
Blog abonnieren
Kategorien
Kalender
| « | August '08 | |||||
|---|---|---|---|---|---|---|
| M | D | M | D | F | S | S |
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Suche
Top Referrer
Hacking Cineplex Online Reservation with Firebug
Ich wollte schon lange einmal was über den Firebug bloggen, einem sehr nützlichen Plugin für den Firefox Webbrowser. Ich benutze es hauptsächlich bei der Anwendungsentwicklung, da es einen Javascript Debugger und einen DOM-Inspector bietet (näheres hierzu findet sich auf der Webseite des Tools) - es kann allerdings auch dazu verwendet werden, Formularelemente auf einer Seite "on the fly" zu manipulieren und somit einer Serverseitigen Action Fakedaten vorgaukeln.
Mittwochs bin ich immer im Cineplexx in Neckarsulm zur Sneak Preview um 23 Uhr anzutreffen, das Cineplexx hat sein Reservierungssystem auf eine neue Platform umgestellt, welche unter http://212.20.182.131/ zu finden ist. Nach dem Auswählen eines Filmes und dem Einloggen mit seinen Benutzerdaten können (im Gegensatz zum alten System) nur noch bis zu vier Karten reserviert werden was natürlich viel zu wenig ist.
Abhilfe tut im Firebug ein Klick auf "Inspect" worauf man mit der Maus über das Select Feld fährt, in dem normalerweite die Anzahl der Karten auswählt werden. Im DOM Inspector kann nun der Wert auf die gewünschte Menge geändert und das Forumular abgeschickt werden, worauf man zur Auswahl der Sitzplätze und danach zur Reservierungsbestätigung weitergeleitet wird
.
Solch ein Bug darf in einer Anwendung natürlich nicht aufteten - das ist schlichtweg peinlich. Die Formulardaten müssen (nach dem Konzept einem User niemals zu vertrauen) nochmals auf Serverseite validiert werden, aber das kann man von einem ASP Programmierer wohl nicht erwarten
Mittwochs bin ich immer im Cineplexx in Neckarsulm zur Sneak Preview um 23 Uhr anzutreffen, das Cineplexx hat sein Reservierungssystem auf eine neue Platform umgestellt, welche unter http://212.20.182.131/ zu finden ist. Nach dem Auswählen eines Filmes und dem Einloggen mit seinen Benutzerdaten können (im Gegensatz zum alten System) nur noch bis zu vier Karten reserviert werden was natürlich viel zu wenig ist.
Manipulation des DOM mittels Firebug
Abhilfe tut im Firebug ein Klick auf "Inspect" worauf man mit der Maus über das Select Feld fährt, in dem normalerweite die Anzahl der Karten auswählt werden. Im DOM Inspector kann nun der Wert auf die gewünschte Menge geändert und das Forumular abgeschickt werden, worauf man zur Auswahl der Sitzplätze und danach zur Reservierungsbestätigung weitergeleitet wird
.
Solch ein Bug darf in einer Anwendung natürlich nicht aufteten - das ist schlichtweg peinlich. Die Formulardaten müssen (nach dem Konzept einem User niemals zu vertrauen) nochmals auf Serverseite validiert werden, aber das kann man von einem ASP Programmierer wohl nicht erwarten
Sonntag, 17. Februar 2008 um 14:45 (Antwort)